写这篇博文主要是针对前段时间在我管理的Windows server版块有不少网友提出希望能够监控文件服务器上特定文件夹内用户的操作等记录,而他们在使用Windows 审核功能时觉得不是很方便,所以我特别在生产环境安装配置了File System Auditor软件,希望能给有困惑的网友带来一种较好的方案和体验.
原帖链接:
好了,开始介绍我们文中的主角吧.
Agenda
•
1.File System Auditor簡介
•
2.FSA功能与Windows server審核物件存取功能之比較
•
3.FSA建置流程與使用效果
File System Auditor簡介
File System Auditor提供Windows檔案伺服器,稽核、
報表與警示,提供檔案與目錄存取紀錄,存取時間與那台
伺服器,File System Auditor提供系統層級的智慧型稽核
,收集所有的動作與單一窗口展示事件檢視,提供明確清
楚的報告、分析與決策,企業尋找檔案安全性的控制,建
立安全性的稽核,監控檔案使用者存取檔案的紀錄,
File
System Auditor提供即時的(Real-Time)監控每個檔案,建
立完整的檔案存取報告
FSA与Windows server審核功能比較
Windows审核物件存取的缺陷:
日誌量太大,並且對於管理員不易查找
过滤功能不完善,不能靈活地定義篩選條件等
FSA的优势:
• 智慧型稽核
在上千上萬筆眾多混亂的資料稽核資料下,File System Auditor智慧型的監看檔案活動並回傳單一的事件,一些複雜的事件如移動(move),包含了複製(copy)與刪除(delete),都站是出於單一事件。
在上千上萬筆眾多混亂的資料稽核資料下,File System Auditor智慧型的監看檔案活動並回傳單一的事件,一些複雜的事件如移動(move),包含了複製(copy)與刪除(delete),都站是出於單一事件。
• 安裝簡易
只需要稽核檔案的伺服器上安裝代理程式,Client端不需安裝任何軟體。
只需要稽核檔案的伺服器上安裝代理程式,Client端不需安裝任何軟體。
• 集中稽核資料
所有的事件都集中存放於SQL資料庫,不只讓企業維護資料安全的維護,更可以了解員工檔案存取狀態,如--Bob今天存取了哪些檔案?這類的需求。
所有的事件都集中存放於SQL資料庫,不只讓企業維護資料安全的維護,更可以了解員工檔案存取狀態,如--Bob今天存取了哪些檔案?這類的需求。
• 簡單化報表
可簡單快速的使用1.日期/時間範圍 2.使用者 3.事件型態 4.路徑 5處理程序 6.所在伺服器 等六個條件來產生所需要的精準報表。
可簡單快速的使用1.日期/時間範圍 2.使用者 3.事件型態 4.路徑 5處理程序 6.所在伺服器 等六個條件來產生所需要的精準報表。
• 即時與排程報表
報表收尋條件可以儲存,當事件發生時可以以E-Mail方式讓相關人員瞭解檔案伺服器的活動。
報表收尋條件可以儲存,當事件發生時可以以E-Mail方式讓相關人員瞭解檔案伺服器的活動。
•
詳細的報表
報表內容包含事件型態、使用者、日期 / 時間、處理程序、與檔案目錄等。
報表內容包含事件型態、使用者、日期 / 時間、處理程序、與檔案目錄等。
• 報表檔案格式轉換
報表可以轉換成多種檔案格式如RTF、PDF、HTML、XLS、TIF、TXT與RDF
報表可以轉換成多種檔案格式如RTF、PDF、HTML、XLS、TIF、TXT與RDF
FSA建置流程
• 安裝SQL2000數據庫及SP4,過程略
(step by step 即可)
• 安裝FSA軟件,過程略
(step by step 即可)
• 打開FSA控制台,選擇資料庫嚮導
注:因为在生产环境截图,所以已经存在已经监控的server,现在及后续演示的是要添加别的文件服务器进行监控.
• 選擇建立新資料庫
• 填入好分辨的資料庫名稱 (选择为每个文件服务器建立自己单独的资料库是处于效能考量及方便筛选操作)
• 為資料庫配置基本屬性
• 因為域環境所以選擇建立域全局組,使得此機器資料庫可以收集到域內其他文件服務器上的信息記錄(一个数据库收集多台服务器监控记录)
• 開始創建資料庫
• 資料庫建立完成
可在域控上的<AD使用者及電腦>中看到剛才新建立的兩個群組
• 在SQL中可以看到剛才新建立的資料庫
在FSA控制台內選擇’Add File Server’,輸入要監控的服務器名稱
• 在要監控的文件服務器上安裝FSA代理程序
• 代理程序需要數據庫支持,選擇我們前面新建好的數據庫
• 確認信息無誤后點擊確定
• FSA代理程式在被监控文件服务器上安裝成功
• 可以看見服務器信息刷新為OK
• 添加要監控的文件夾路徑以及監控文件類型
• 在被監控文件服務器上使用Real Time Viewer測試監控功能是否OK
• Real Time Viewer監控功能OK---創建文件被記錄
• Real Time Viewer監控功能OK---刪除文件被記錄
• 回到監控服務器上測試報告收集功能
• 新建報表并選擇相應數據庫
• 功能測試OK
• 可以自定義篩選器方便地查找記錄
•
點選
<View Report>
可以導出多類型格式報告
我們選擇保存excel格式看看
The End...大家有使用方面的问题可以移步至Windows server版块发帖,谢谢
本文转自 jrfly331 51CTO博客,原文链接:http://blog.51cto.com/mrfly/185290,如需转载请自行联系原作者
